Web stranice na udaru GDPR-a
AZOP je krenuo u kažnjavanje organizacije koje nisu prilagodile svoje web stranice GDPR zahtjevima. Naime, svaka obrada osobnih podataka, uključujući i obradu osobnih podataka na internetskim stranicama, mora zadovoljiti zahtjeve Opće uredbe o zaštiti podataka.
U rujnu ove godine, AZOP je izrekao dvije upravne novčane kazne u iznosima 20.000,00 eura (150.690,00 kuna) i 30.000,00 eura (226.035,00 kuna) zbog kršenja GDPR-a na internetskim stranicama.
Upravne novčane kazne zbog nezakonite obrade osobnih podataka putem kolačića
Agencija za zaštitu osobnih podataka izrekla je dvije upravne novčane kazne voditeljima obrade, trgovačkim društvima za djelatnosti kockanja i klađenja u iznosu od 20.000,00 eura (150.690,00 kuna) i 30.000,00 eura (226.035,00 kuna), zbog tri utvrđene povrede Opće uredbe o zaštiti podataka u oba slučaja
AZOP
Bilo je samo pitanje vremena kad će AZOP krenuti s kažnjavanjem subjekata koji nisu prilagodili svoje intrenetske stranice. U Njemačkoj i drugim zapadnim zemljama praksa kažnjavanja se provodi već niz godina. Nažalost, to jedini način da se obrada osobnih podataka stavi pod kontrolu. U Hrvatskoj je ta praksa započela tek sada i na žalost posljedice kašnjenja vidljive su na našem webu. Većina organizacija u Hrvatskoj do današnjeg dana nije prilagodilo svoje stranice GDPR-u ili ih je pogrešno prilagodila. To znači da se osobni podaci posjetitelja obrađuju netransparentno, na nezakonit način i prenose sumnjivim trećim stranama.
Internetski kolačići
Voditelji obrade prikupljali su i obrađivali osobne podatke ispitanika odnosno posjetitelja internetske stranice putem kolačića bez pravne osnove, čime je povrijeđen čl. 6. st. 1 Opće uredbe o zaštiti podataka. Naime, kako bi obrada osobnih podataka bila zakonita potrebno je postojanje najmanje jedne od pravnih osnova iz predmetnog članka, što u konkretnom slučaju voditelji obrade nisu ispunili, odnosno nisu dokazali postojanje pravne osnove za obradu osobnih podataka putem kolačića (eng. cookies – male datoteke koje Internet preglednik pohranjuje na računalo, mobilni uređaj ili neki drugi uređaj kojim je ispitanik posjetio Internet stranice te na taj način pamte i prate njegove daljnje radnje na internetskim stranicama, a koja obrada je odnosna i na aspekte osobnih podataka).
AZOP
Internetski kolačići na web stranicama služe za prikupljanje i pohranu informacija o posjetitelju (npr. IP adresa, ID računala, Operativni sustav posjetitelja, Posjećene stranice, itd.). Kolačići su smješteni na računalu posjetitelja, ali se prikupljene informacije često dijele s trećim stranama. Jasno je onda zašto je takva obrada sporna i zašto ona bez znanja i/ili privole korisnika predstavlja ugrozu privatnosti i kršenje GDPR-a. Za svaki tip obrade osobnih podataka mora se odrediti pravna osnova za obradu osobnih podataka. Obrade osobnih podataka za koje nismo odredili i dokumentirali pravnu osobu smatraju se nezakonitima, bez obzira što su nam one možda neophodne. GDPR zahtjeva da te obrade identificiramo, odredimo pravnu osnovu, dubinski analiziramo i zaštitimo. Bez pravilne prilagodbe obrada osobnih podataka smatra se nezakonitom.
Isto tako, voditelji obrade nisu na odgovarajući način dali informacije ispitanicima, odnosno omogućili ispitanicima da dostatno informirano, tj. dobrovoljno daju i/ili povuku privolu, čime je povrijeđen članak 7. Opće uredbe o zaštiti podataka. Naime, posjetitelj za svaku vrstu kolačića po njihovoj funkcionalnosti treba dati posebnu privolu, odnosno privola ne može biti objedinjena za sve vrste kolačića, a u konkretnim slučajevima nije postojala opcija zasebnog davanja/povlačenja privole za svaku vrstu kolačića.
AZOP
Samo nužni funkcionalni internetski kolačići bez kojih stranica ne bi funkcionirala ispravno mogu se koristiti bez privole. Sve ostale vrste kolačića, u koje spadaju statistički, marketinški i drugi kolačići, mogu se koristiti samo uz izričitu privolu posjetitelja. Neki subjekti koriste tzv. "legitimni interes" kako bi koristili ostale kolačiće bez privole, ali to je kršenje GDPR-a. AZOP naglašava da je jedina valjana pravna osnova za korištenje ostalih kolačića privola. Stranice s vijestima često koriste plugin privole u kojemu su gotovo svi kolačići uključeni pod legitimnim interesom, međutim taj plugin nije sukladan s GDPR-om.
Privola
Kada spominjemo privolu, važno je podsjetiti se i na osnovna načela koja privola mora zadovoljiti da bi se smatrala važećom. Privola mora biti dobrovoljna i mora biti potvrđena jasnom radnjom ispitanika. To znači da ne smije biti unaprijed označeno polje za davanje privole, te da davanje i povlačenje privole mora biti jednako jednostavno. Ako je za davanje privole potreban jedan klik mišem a za povlačenje privole je potrebno skrolanje i više klikova, onda povlačenje i davanje privole nije jednako jednostavno i takva privola može se smatrati nevažećom. Dodatan zahtjev privole je da ona mora biti slojevita, odnosno da se ispitaniku mora omogućiti davanje privole za pojedine aspekte. Na primjer, ako koristimo statističke i marketinške kolačiće, tada posjetitelju moramo omogućiti da odabere za koji tip kolačića daje ili povlači privolu.
Obavijesti poput, "ova stranica koristi kolačiće i daljnjim korištenjem prihvaćate kolačiće" ili "kolačiće možete isključiti sami u web pregledniku tako što u postavkama...", nisu u skladu s GDPR-om. Takve obavijesti lako mogu rezultirati plaćanjem kazni.
Također je vrlo važno osigurati da web stranica nema unaprijed uključene kolačiće, odnosno da su eventualno jedino nužni funkcionalni kolačići unaprijed uključeni (GDPR i ePrivacy direktiva).
Utvrđeno je kako voditelji obrade nisu na adekvatan način obavijestili ispitanike (posjetitelje internetskih stranica) o obradi osobnih podataka, odnosno o obradi podataka putem kolačića čime je povrijeđen čl. 13. st. 1. i 2. Opće uredbe o zaštiti podataka. Naime, o predmetnoj obradi voditelji obrade nisu informirali ispitanike sukladno načelu transparentnosti te su na taj način ispitanici (posjetitelji internetskih stranica) bili zakinuti za informacije o obradi podataka poput pravne osnove, funkciji svakog kolačića te razdoblju pohrane kolačića.
AZOP
Transparentnost i informiranje
U konačnici došli smo i do načela transparentnosti i prava na informiranost. Ako stranice koriste kolačiće, posjetitelje je potrebno informirati o tome da stranice koriste kolačiće, ali i pružiti konkretne informacije o kolačićima koji se koriste na dotičnim stranicama. To znači da nije dovoljno samo opisati što su kolačići ili uputiti na stranicu Wikipedije. Potrebno je navesti koji se točno kolačići koriste, u koje svrhe se koriste, koliko dugo se čuvaju i kome se informacije prenose. Samo takva konkretna obavijest o kolačićima će se smatrati transparentnom i informirajućom. Obavijest o kolačićima mora biti vidljiva i lako dostupna.
Osim toga, potrebno je pobrinuti se da su na internetskoj stranici dostupni i ostali važni dokumenti poput Politike privatnosti. Internetska stranica je javno dostupna i odličan je medij putem kojeg se korisnike može informirati o obradama, pravima i zaštiti podataka.
Za kraj bih htio dodati da su internetske stranice ogledalo organizacije. Organizacije koje nisu izvršile prilagodbu svojih internetskih stranica, svima daju do znanja da nisu izvršile GDPR prilagodbu. A to je onda odmah vidljivo i AZOP-u. Osim toga, time posjetitteljima odmah daju do znanja da im nije previše stalo do zaštite njihovig osobnh podataka. Danas, kada su sve učestalije krađe osobnih podataka i krađe identiteta, nemaran odnos prema osobnim podatcima organizacije može koštati gubitka reputacije i klijenata.